攻防世界-Reverse新手区WP--maze

简介: 攻防世界-Reverse新手区WP--maze

  疫情当下,都已经耍了半个月了,都不知道干啥了,无聊中,那就写了Reverse解题记录吧。

maze
根据题目描述可知这是一道迷宫题。用IDA64打开,F5将主函数main反编译成C伪代码:

int64 fastcall main(int64 a1, char a2, char a3)
{
signed
int64 v3; // rbx
signed int v4; // eax
bool v5; // bp
bool v6; // al
const char *v7; // rdi
__int64 v9; // [rsp+0h] [rbp-28h]

v9 = 0LL;
puts("Input flag:");
scanf("%s", &s1, 0LL);
if ( strlen(&s1) != 24 || strncmp(&s1, "nctf{", 5uLL) || (&byte_6010BF + 24) != '}' )
{ // flag长度为24 并且由nctf{}包裹
LABEL_22:
puts("Wrong flag!");
exit(-1);
}
v3 = 5LL;
if ( strlen(&s1) - 1 > 5 )
{
while ( 1 )
{
v4 =
(&s1 + v3); // 从flag花括号内的第一个字符开始比对
v5 = 0;
if ( v4 > 'N' )
{
v4 = (unsigned int8)v4;
if ( (unsigned
int8)v4 == 'O' )
{
v6 = sub_400650((_DWORD )&v9 + 1);
goto LABEL_14;
}
if ( v4 == 'o' )
{
v6 = sub_400660((int
)&v9 + 1);
goto LABEL_14;
}
}
else
{
v4 = (unsigned int8)v4;
if ( (unsigned
int8)v4 == '.' )
{
v6 = sub_400670(&v9);
goto LABEL_14;
}
if ( v4 == '0' )
{
v6 = sub_400680((int )&v9);
LABEL_14:
v5 = v6;
goto LABEL_15;
}
}
LABEL_15:
if ( !(unsigned int8)sub_400690((int64)asc_601060, SHIDWORD(v9), v9) ) // 检测是否发生碰撞 只有' '和'#'是可行走的
goto LABEL_22;
if ( ++v3 >= strlen(&s1) - 1 )
{
if ( v5 )
break;
LABEL_20:
v7 = "Wrong flag!";
goto LABEL_21;
}
}
}
if ( asc_601060[8
(signed int)v9 + SHIDWORD(v9)] != '#' ) //循环结束判断 是否到达迷宫终点'#'
goto LABEL_20;
v7 = "Congratulations!";
LABEL_21:
puts(v7);
return 0LL;
}

其中 SHIDWORD(v9)即 &v9 + 1 ,迷宫字符串asc_601060[]如下,长度为64:

* ** * * # ** *
根据以下代码能够判断出 &v9 为纵坐标(所在行), &v9+1为横坐标(所在列),迷宫是8*8规格的。

if ( asc_601060[8 * (signed int)v9 + SHIDWORD(v9)] != '#' ) //判断是否到达迷宫终点'#'
其中逻辑为:

当前位置 = 8(迷宫横长) * 当前纵坐标(所在行) + 当前纵坐标(所在列)

‍‍

其中横纵坐标由0开始算。又根据伪代码中四个 if判断中的函数判断移动四个方向:

bool __fastcall sub_400650(_DWORD a1) // a1为 &v9+1(横坐标)
{ // v4 = 'O'
int v1;
v1 = (
a1)--; // 横坐标-1 向左移动
return v1 > 0; // 是否超出边界
}

bool __fastcall sub_400660(int a1) // a1为 &v9+1
{ // v4 = 'o'
int v1;
v1 =
a1 + 1; // 横坐标+1 向右移动
*a1 = v1;
return v1 < 8;
}

bool __fastcall sub_400670(_DWORD a1) // a1为 v9(纵坐标)
{ // v4 = '.'
int v1;
v1 = (
a1)--; // 纵坐标-1 向上移动
return v1 > 0; // 超界判断
}

bool __fastcall sub_400680(int a1) // a1为 v9
{
int v1; // v4 = '0'
v1 =
a1 + 1; // 纵坐标+1 向下移动
*a1 = v1;
return v1 < 8;
}

将迷宫字符串以8*8格式打印出来(起点在左上角,终点为#)





  • #



走出迷宫方式为:右下右右下下左下下下右右右右上上左左 对应flag字符串:o0oo00O000oooo…OO 字符串长度刚好也对应为程序开头的判断(18+6=24) 在Linux虚拟机内运行验证也正确。

目录
相关文章
|
7月前
|
网络安全 Windows
[网络安全]upload-labs Pass-08 解题详析
[网络安全]upload-labs Pass-08 解题详析
60 0
[网络安全]upload-labs Pass-08 解题详析
|
7月前
|
网络安全
[网络安全]upload-labs Pass-09 解题详析
[网络安全]upload-labs Pass-09 解题详析
51 0
|
7月前
|
存储 安全 Shell
[网络安全]upload-labs Pass-12 解题详析
[网络安全]upload-labs Pass-12 解题详析
115 0
|
7月前
|
Shell 网络安全
[网络安全]upload-labs Pass-13 解题详析
[网络安全]upload-labs Pass-13 解题详析
123 0
|
7月前
|
安全 网络安全 PHP
[网络安全]upload-labs Pass-18 解题详析
[网络安全]upload-labs Pass-18 解题详析
120 0
|
7月前
|
网络安全 Apache PHP
[网络安全]upload-labs Pass-04 解题详析
[网络安全]upload-labs Pass-04 解题详析
174 0
|
7月前
|
网络安全
[网络安全]upload-labs Pass-21 解题详析
[网络安全]upload-labs Pass-21 解题详析
117 0
|
7月前
|
网络安全
[网络安全]upload-labs Pass-07 解题详析
[网络安全]upload-labs Pass-07 解题详析
137 0
|
5天前
|
安全 数据安全/隐私保护 Python
BUUCTF-[GUET-CTF2019]re(Reverse逆向)
本文介绍了如何对一个带有UPX壳的ELF文件进行逆向分析。首先通过010Editor确认文件类型和壳的存在,接着使用Free UPX工具进行脱壳。脱壳后在IDA中加载文件,通过字符串查找和交叉引用跟踪定位关键函数。最终利用Python的z3库解决约束问题,得到flag。过程中还遇到了Python版本兼容性问题,并通过重新安装z3-solver解决。最终flag为`flag{e165421110ba03099a1c039337}`,经MD5解密验证为`233`。
12 0
BUUCTF-[GUET-CTF2019]re(Reverse逆向)
|
7月前
|
网络安全 PHP
[网络安全]upload-labs Pass-16 解题详析
[网络安全]upload-labs Pass-16 解题详析
69 0